VPN PUNTO A PUNTO DE ROUTER A ROUTER
Por Wilmer Arlex Castrillòn
Grupo 38110
Instructor Mauricio Ortiz
Centro de servicios y gestión empresaria Tecnólogo en administración de redes Sena Medellín 2011
Introducción En este trabajo se tratara de un manual para implementar una VPN punto a punto ente dos routers cisco. Se mostrara detalladamente cómo realizar la implementación de LA VPN punto a punto y se realizaran pruebas para así realizar una captura de la comunicación y verificar que la comunicación entre los dos routers sea segura. Las siglas VPN significan: Red Privada Virtual, que lo que me permite es extender mi red LAN sobre una red WAN. Una VPN crea un túnel seguro para la trasmisión de información entre el equipo que está en la red WAN y la red LAN. Una conexión VPN router a router es realizada por un router, y este a su vez se conecta a una red privada. En este tipo de conexión, los paquetes enviados desde cualquier router no se originan en los routers. El router que realiza la llamada se autentifica ante el router que responde y este a su vez se autentica ante el router que realiza la llamada y también sirve para la intranet.
2
Implementación una VPN site to site Antes de empezar a implementar la VPN vamos consultar primero sobre lo que es una VPN site to site para poder entender lo que vamos a realizar. Que es una VPN? Por sus siglas significa Red privada virtual, es una tecnología de red que permite una extensión de la red local sobre una red pública o no controlada, como por ejemplo Internet. Tipos de VPN:
VPN de acceso remoto: Es quizás el modelo más usado actualmente, y consiste en usuarios o proveedores que se conectan con la empresa desde sitios remotos (oficinas comerciales, domicilios, hoteles, aviones preparados, etcétera) utilizando Internet como vínculo de acceso. VPN punto a punto: Este esquema se utiliza para conectar oficinas remotas con la sede central de la organización. El servidor VPN, que posee un vínculo permanente a Internet, acepta las conexiones vía Internet provenientes de los sitios y establece el túnel VPN. Tunneling: La técnica de tunneling consiste en encapsular un protocolo de red sobre otro (protocolo de red encapsulador) creando un túnel dentro de una red de computadoras. El establecimiento de dicho túnel se implementa incluyendo una PDU determinada dentro de otra PDU con el objetivo de transmitirla desde un extremo al otro del túnel sin que sea necesaria una interpretación intermedia de la PDU encapsulada. VPN over LAN: Este esquema es el menos difundido pero uno de los más poderosos para utilizar dentro de la empresa. Es una variante del tipo "acceso remoto" pero, en vez de utilizar Internet como medio de conexión, emplea la misma red de área local (LAN) de la empresa.
Tipos de conexiones:
Conexión de acceso remoto Una conexión de acceso remoto es realizada por un cliente o un usuario de una computadora que se conecta a una red privada, los paquetes enviados a través de la conexión VPN son originados al cliente de acceso remoto, y éste se autentifica al servidor de acceso remoto, y el servidor se autentifica ante el cliente.
Conexión VPN router a router Una conexión VPN router a router es realizada por un router, y este a su vez se conecta a una red privada. En este tipo de conexión, los paquetes enviados desde cualquier router no se originan en los routers. El router que realiza la llamada se autentifica ante el router que responde y este a su vez se autentica ante el router que realiza la llamada y también sirve para la intranet. Conexión VPN firewall a firewall Una conexión VPN firewall a firewall es realizada por uno de ellos, y éste a su vez se conecta a una red privada. En este tipo de conexión, los paquetes son enviados desde cualquier usuario en Internet. El firewall que realiza la llamada se autentifica ante el que responde y éste a su vez se autentifica ante el llamante.
3
Diagrama a implementar
La implementación se hará con gns3, ya que no contamos con unos routers que soporten vpn. Antes de empezar la implementación debemos de investigar primero si el IOS del router que vamos a utilizar si tenga soporte para las VPN. Gns3 es un simulador grafico de red que me permite diseñar topologías de red complejas. Puede emular IOS de router como si fueran reales. En la siguiente imagen se muestra la simulación en gns3 con su respectiva configuración a realizar. Procedemos a configurar cada uno de los routers, para ello damos clic derecho sobre router1 y seleccionamos la opción consolé para abrir la consola del router.
4
Desde la consola del router procedemos a configurar las interfaces. Primero configuraremos la interfaz fastethernet, para realizar su respectiva configuración ejecutamos los comandos que se muestran a continuación en un recuadro rojo. Comandos a ejecutar: Enable: abreviatura en para ingresar al modo privilegiado. Configure terminal: abreviatura conf t para ingresar al modo de configuración global. Interface fastethernet 0/0: abreviatura interface f0/0 para ingresar al modo de configuracion de la interfaz. No sh: abreviatura para encender la interfaz. end: para devolverme al modo privilegiado. wr: guardar configuración
Ahora procedemos a configurar la interfaz serial 0/0, que es la interfaz que va conectada al otro router que está en el otro extremos. Básicamente son los mismo comandos anteriores pero esta vez lo único que cambia es la interfaz a configurar{
5
luego desde un equipo de la red LAN1 vamos a probar conectividad con la interfaz de router que se configuro en el paso anterior.
Desde el router vamos a probar conectividad con el host que está en la red LAN1. Para probar conectividad ejecutamos el comando ping y la dirección ip del hosts a probar conectividad.
A continuación nos dirigimos a la consola de router2, para abrir la consola nos paramos sobre router2 damos clic derecho y seleccionamos la opción consolé. Luego de estar en la consola empezaremos a configurar sus interfaces. Primero vamos a configurar la interfaz fastethernet 0/0 para ello ejecutamos los comando que se muestran en la imagen siguiente.
6
Ya configurada la interfaz fastethernet procedemos a configurar la interfaz serial 0/0, la cual es la que se conecta con el otro router. Para realizar la configuración de la interfaz serial 0/0 se realiza en el mismo procedimiento del paso anterior pero esta vez cambiando la interfaz a configurar.
Desde el equipo que se encuentra en la red LAN2 vamos a probar conectividad con la interfaz fastethernet 0/0 de router2 que se configuro anteriormente. Para ello abrimos a consola del hosts de la red LAN2 listamos su configuración y realizamos el ping.
De igual manera vamos a probar conectividad desde el router2 hacia el equipo de la red LAN2. Utilizamos también el comando ping y la dirección ip del hosts a probar conectividad.
7
A continuación se muestra en procedimiento para realizar la configuración del servidor web seguro y no seguro en el router1 para realizar sus respectivas configuraciones a través de vía web. Para realizar las respectivas configuraciones del router vía web es necesario instalar el software SDM en un equipo que este dentro de la red LAN1. Los comandos a ejecutar para habilitar o poner acceder vía web al router1 se muestra en la imagen siguiente.
De igual manara se hace la configuración del paso anterior para habilitar el sitio web del router2 y poder realizar sus respectivas configuraciones vía web.
8
En una maquina con sistema operativo XP que está en las redes LAN1 y LAN2, ósea que hace parte de las dos redes ya que cuentas con dos interfaces Ethernet y cada uno tiene una dirección ip dentro de cada una de la redes LAN. Dicha maquina es de donde vamos a instalar el software SMD y poder acceder vía web a los routers R1 y R2.
Abrimos la consola CMD desde el cliente XP para verificar que si tenga direcciones ip dentro de las redes LAN1 y LAN2.
9
Ahora vamos a probar conectividad con los routers R1 y R2 para verificar que el equipo si se este viendo con los routers R1 y R2.
Instalación del SDM cisco SDM es un administrador del dispositivo de seguridad de Cisco. Cisco SDM es una herramienta de software basada en el explorador web, diseñada para configurar LAN, WAN y funciones de seguridad en un router. Descargamos SDM desde la página oficial de cisco. Antes de instalar SDM debemos de instalar Java script 5.0 ya que es uno de los requerimientos para poder instalar SDM. En la imagen siguiente se muestra el instalador de java script 5.0 y la carpeta donde está en ejecutable del SDM.
10
Dentro de la carpeta del SDM hay un ejecutable para instalar el SDM. En Windows los ejecutables se hacen llamar setup, buscamos dicho ejecutable y damos doble clic sobre el ejecutable para empezar el proceso de instalación.
Cuando realizamos en paso anterior nos aparecerá un wizar de instalación del SMD. En la imagen siguiente muestran las recomendaciones antes de continuar con la instalación y seguimos el asistente.
11
Aceptamos los términos de licencia de cisco SDM y damos clic en siguiente.
Seleccionamos la ubicación a instalar cisco SDM. En este caso lo vamos a realizar en el equipo local.
12
Nos aparece por defecto la ruta en el equipo donde se va a instalar el SDM, lo dejamos por defecto y continuamos con el proceso de instalación.
Damos clic en instalar.
13
Al final del wizar nos aparece una imagen como la siguiente seleccionamos la opción iniciar cisco SDM y damos clic en finalizar.
Nos va a aparecer un SDM Launcher donde especificamos la dirección ip del router para ingresar al vía web. Vamos a ingresar primero a router1 para empezar a configurar la VPN site to site. Ingresamos la dirección ip de la interfaz fastethernet de R1 y habilitamos la opción este dispositivo tiene activado HTTPS y deseo utilizarlo. Esto nos va a permitir de forma seguro a router1.
14
Luego de realizar el paso anterior automáticamente se abre el navegador ingresando al router y durante la entrada al router1 a través de vía web nos va a solicitar un usuario y una contraseña los cuales fueron creados cuando estábamos habilitando el servidor WEB en el router1. Ingresamos el usuario y la contraseña para ingresar al sitio web en el router.
Realizado el paso anterior ingresamos al router1 vía web. En la imagen siguiente se muestra en entorno web del router1.
15
Volvemos a SDM Launcher e ingresamos al otro router que en este caso es router2, ingresamos la dirección ip de la interfaz fastethernet 0/0 de R2 y habilitamos que utilice HTTPS para que utilice una conexión segura con router2.
Automáticamente se abre el navegador ingresando al router2 y en el transcurso del ingreso al router2 por vía web nos va a pedir un usuario y contraseña para acceder al router, dicho usuario y contraseña se crearon en el router2 cuando se está habilitando el servicio HTTP y HTTPS en el router2 a través de la consola. Ingresamos el usuario y la contraseña y damos clic en aceptar.
16
En la imagen que se muestra a continuación muestra que ya estamos en el sitio web del router2.
Ahora procedemos a crear la VPN site to site en el router1, para ello vamos a la pestaña configurar, elegimos la opción VPN que aparece en la parte izquierda de la imagen que se muestra a continuación, seleccionamos la tarea crear una VPN site to site y damos clic en iniciar tarea seleccionada.
17
Al realizar el paso anterior nos a aparecer un asistente para crear la VPN site to site donde en la primera ventana nos da una introducción sobre VPN site to site, seleccionamos la configuracion Asistentes pos pasos y damos clic en siguiente.
Llenamos todos los requerimientos que nos piden que son: Interfaz por la cual se va a establecer la conexión VPN, el tipo de pares para la conexión VPN, dirección ip para el par remoto que sería la ip de router2, seleccionamos el tipo de autenticación que va a hacer con claves precompartidas y especificamos la clave precompartida que se va a usar para la autenticación de la conexión VPN. En la siguiente imagen se muestra los parámetros con los cuales se va a crear la conexión VPN en nuestro ejemplo.
18
Ahora vamos a agregar una propuesta IKE. La propuesta IKE especifica el algoritmo de cifrado, el algoritmo de autenticación y el método de intercambio de las claves precompartida que se utilizan en la conexión VPN. Por defecto hay una propuesta IKE pero no vamos a utilizar esa propuesta IKE entonces vamos a la opción agregar.
Cuando realizamos el paso anterior nos va a aparecer una ventana donde especificamos los siguiente: la prioridad, algoritmo de autenticación, algoritmo de cifrado, grupo D-H, algoritmo hash y Longevidad. En la imagen siguiente se muestra lo dicho anteriormente.
19
Aquí ya podemos observar la propuesta IKE agregada anteriormente, nos paramos sobre la propuesta creada y damos clic en siguiente.
Ahora vamos a agregar el conjunto de transformación que me definen los algoritmos de cifrado y de autenticación que se van a utilizar para proteger los datos en el túnel VPN. Por defecto hay un conjunto de transformación pero vamos a agregar un conjunto de transposición manualmente para ello vamos a la opción agregar.
20
Luego de hacer el paso anterior nos a aparecer una ventana donde le damos un nombre al conjunto de transformacion, seleccionamos la opción integridad de los datos con cifrado (ESP), elegimos los algoritmos de integridad y de cifrado y damos clic en aceptar. ESP: seguridad de encapsulamiento de los datos. El protocolo ESP proporciona autenticidad de origen, integridad y protección de confidencialidad de un paquete. Ipsec: es un protocolo seguro que llega para solucionar la seguridad del protocolo ip. El protocolo ip es un protocolo inseguro mientras que Ipsec es la evolución del protocolo ip que brinda seguridad para el protocolo ip. Ipsec utiliza el protocolo ESP para el intercambio de información.
21
Aquí podemos observar en la imagen que se muestra a continuación el conjunto de transformación creado en el paso anterior y damos clic en siguiente.
Ahora lo que sigue es especificar el tráfico para proteger. Elegimos la opción proteger todo él y trafico entre las subredes siguientes, donde dice Red local especificamos la dirección ip de la red local con su respectiva mascara, donde dice Red remota colocamos la dirección de la red remota con su respectiva mascara. Esto quiere decir que todo el tráfico que se origine es la red local y tenga como destino la red remota especificada la información trasmitida se enviara de forma segura a través de la VPN punto a punto.
22
En la imagen a continuación se muestra el resumen de la configuración realizada anteriormente, damos clic en finalizar.
Esperamos a que se ejecuten los comandos en el router y se aplique correctamente la configuración realizada anteriormente.
23
Cuando se termine de ejecutar los comandos en el paso anterior veremos la vpn creada. El estado de la VPN es hacia abajo lo que quiere decir que la VPN no está en funcionamiento, para que la vpn funcione es necesario ir a configurar en el router2 la VPN con los mismos parámetros.
Nos dirigimos a sitio web de router2 para realizar la configuración de la VPN site to site. Básicamente son los mismos pasos realizados en router1. Entonces nos dirigimos a la pestaña configurar, ingresamos a la opción VPN, seleccionamos la tarea crear una VPN sitio a sitio y damos clic en iniciar la tarea seleccionada.
24
Al realizar el paso anterior nos va a parecer un asistente para la VPN sitio a sitio, seleccionamos el tipo de configuración asistente por pasos y damos clic en siguiente.
Ingresamos la información acerca de la VPN. La información a ingresar son: interfaz para la conexión VPN, el tipo de pares para la comunicación, la dirección ip para el par remoto, el tipo de autenticación que será con claves precompartidas copiamos la clave precompartida. La clave precompartida debe ser la misma que se configuro en el router1. En la imagen siguiente se muestra la información a llenar respecto a él diagrama trabajado.
25
Añadimos una propuesta IKE, para ello damos clic en agregar.
Configuramos la política IKE de la misma manera y con la misma información añadida cuando se estaba configurando la propuesta IKE en router1. La configuración debe ser la misma ya que al momento de la comunicación los dos routers R1 y R2 negosean los algoritmos a utilizar.
26
Realizado el paso anterior podremos observar la propuesta IKE creada y para continuar con la configuración de la VPN damos clic en siguiente.
Ahora vamos a añadir un conjunto de transformación, para ello vamos a la opción agregar.
27
Le damos un nombre al conjunto de transformación, seleccionamos la opción integridad de datos con cifrado (ESP) y llenamos los campos requeridos. Los campos requeridos son los algoritmos a utilizar para el cifrado y la integridad y deben ser los mismos configurados en router1.
Realizado en paso anterior observaremos el conjunto de transformación creado y damos clic en siguiente.
28
Especificamos el tráfico para proteger. Seleccionamos la opción proteger todo el tráfico entre las subredes siguientes, donde dice Red local especificas el id de la red de donde se originara el trafico Ipsec y donde dice Red remota es la dirección ip de la red la cual tiene como destino el trafico originado el trafico local. Si observamos bien la imagen siguiente se puede observar que es lo viceverso a la configuración realizada en router1 y hace referencia al diagrama que se esta trabajando.
Luego nos aparece el resumen con la configuración realizada en los pasos anteriormente y damos clic en finalizar.
29
Esperamos a que la configuración se envié al router y se ejecute correctamente.
Ahora nos a mostrar la VPN creada y tiene un estado hacia abajo esto quiere decir que todavía no esta funcionando la VPN site to site.
Para que la VPN funcione necesitamos crear una ruta estática en cada router para que las dos redes LAN1 y LAN2 se puedan comunicar. Nos dirigimos hacia el router1 e ingresamos a la consola y desde el modo de configuración global crearemos la respectiva ruta. En la imagen siguiente se muestra como se crea la ruta estática para que la LAN1 se pueda comunicar con la LAN2 según el diagrama a trabajar.
30
Ahora nos dirigimos a router2 (R2) para crear la ruta estática pero esta vez es viceversa ya que necesitamos que la LAN2 se comunique con la LAN1. En la siguiente imagen se muestra como crear la ruta estática en router2 según no planteado en el diagrama a trabajar.
Desde R1 entramos al modo privilegiado y ejecutamos el comando show ip route para listar la tabla de enrutamiento donde debe de aparecer la ruta estática creada para que la red LAN1 se pudiera comunicar con la red LAN2.
De igual manera desde la consola de R2 ejecutamos el comando show ip route para verificar que la ruta estática creada para que la red LAN2 se pudiera comunicar con la red LAN1 si este en la tabla de enrutamiento.
31
Ahora nos dirigimos al sitio web del router2 y vamos la ruta donde creó la VPN site to site y al final de la VPN aparece la opción probar túnel damos clic sobre dicha opción para probar el túnel.
Luego de realizar el paso anterior nos va a salir una imagen como la que se muestra a continuación y damos clic sobre la opción iniciar.
32
Si en trascurso de la resolución de problemas nos sale una ventada como la que se muestra a continuación diciendo que el túnel VPN está activo, es porque el túnel ya esta encendido y está listo para usarse, damos clic en aceptar y luego en cerrar.
Ahora de igual manera vamos a probar el túnel en R1 nos dirigimos a el sitio web de R1 y entramos a la ruta donde se encuentra la VPN creada, damos clic en probar túnel y luego iniciar.
33
Realizado el paso anterior esperamos a que termine la resolución de problemas de VPN y si nos sale una ventana diciendo que el túnel VPN está activo quiere decir que el túnel esta encendido y está listo para usarse.
Ahora nos dirigimos a la simulación implementada en GNS3 y sobre el enlace de los routers R1 y R2 damos clic derecho y escogemos la opción capturar. Seleccionamos el origen de la captura y damos clic en aceptar y automáticamente se abre el wireshark capturando el trafico de el elnace de los routers R1 y R2. En esta ocasión vamos a realizar la captura de la comunicación con wireshark. Al capturar la comunicación de la red LAN1 y la red LAN2 podremos afirmar que cuando se hace petición desde una red a otra la comunicación va ir cifrada y esto lo podremos comprobar con el wireshark. Wireshark es un analizador de protocolos utilizado para realizar análisis y solucionar problemas en redes de comunicaciones.
34
Ahora vamos a realizar la prueba de la VPN. Nos dirigimos a una la maquina que es dentro de la red LAN2 y vamos a entrar al sitio web de una maquina que está en la red LAN1. La maquina que está en la red LAN2 es un equipo con sistema operativo Ubuntu y la maquina que está en la red LAN1 está con un sistema operativo centos y tiene el servicio web. Desde el equipo que pertenece a la red LAN2 abrimos la consola y listamos su configuración ip para verificar que si está en la red LAN2 y abrimos el navegador y realizamos la petición a la dirección ip del servidor web que está en la red LAN1.
Luego vamos a la captura que se está haciendo con el wireshark y observamos que la captura está siendo cifrada. Reconocemos que la comunicación es cifrada porque en la captura aparece en protocolo ESP, esto quiere decir que si dicho protocolo está presente en la comunicación es porque se están comunicando de forma segura.
35
Conclusiones
Una VPN es una de las soluciones de la seguridad perimetral que se debe implementar una grande red que esta subdividida en varias subredes y que algunas de las subredes se tengan que comunicar de forma segura. La VPN site to site implementada con el protocolo ESP que va a permitir más seguridad ya que me ofrece autenticidad, integridad y confidencialidad. Cuando queremos acceder a la red LAN desde un equipo que está en una red WAN y queremos hacer parte de la red LAN por circunstancias ya sean de trabajo, se debe implementar una VPN ya que es la única que me permite que un hosts de la red WAN haga parte de la red LAN, además una VPN me va a brindar seguridad en la comunicación ya que como internet es muy insegura y alguien malicioso que quiera detectar la comunicación para robar información se le va a hacer imposible ya que la comunicación va cifrada.
36